Botnets eksploderer i størrelse

I løbet af bare tre måneder er antallet af fjernstyrede zombie-pc'er blevet fire gange større. Det kan skyldes vidt udbredte SQL-injections i den seneste tid.

Ifølge sikkerhedsorganisationen ShadowServer Foundation er antallet af inficerede pc'er i botnetværk firdoblet over de sidste tre måneder. Sikkerhedseksperter tilknyttet ShadowServer Foundation overvåger løbende botnets, men de har ingen forklaring på, hvorfor tallet er steget så voldsomt.

Det har Internet Storm Center (ISC) til gengæld. Denne sikkerhedsorganisation mener, at den seneste tids mange SQL-injections kan ligge bag den store vækst. Det skriver Heise Online.

SQL-injections benytter CMS-systemer, diskussions-forumer, gæstebøger og andre informationssystemer, som narres til at acceptere ondsindede HTML-parametre og SQL-forespørgsler via eksempelvis formularfelter på hjemmesider. Injections er typisk mulige på grund af manglende check af inddata på dynamiske websider.

Det medfører, at sites der ellers virker troværdige, kan sprede virus til ubeskyttede pc'er, som derefter zombificeres.

Thorsten Holz, som er medstifter af det tyske Honeynet Project, peger på, at inficeret spam også kan have en rolle at spille. Det gælder spammails med UPS-fakturaer, videoer med skuespillerinde Angelina Jolie, forlydender om at USA invaderer Iran og senest skærmskånere med motiver fra olympiaden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Stig Johansen

Jeg har sammen med en anden foretaget er mere eller mindre dybdeanalyse af 'thing of nature' eller kald det hvad man vil.

Det gik ud på at lave backtracing af hændelser, og dermed finde ud af hvordan de opstår.

Der er et tydeligt mønster, og jeg har forsøgt at illustrere det her: http://w-o-p-r.dk/storm.monitor/rationale.asp

Det skal fortolkes som en overordnet - gennemgående - struktur.

Metoderne på de enkelte layers er så varierede, og avancerede, så guderne må sig forbarme.

Desværre er det tilsyneladende sådan, at 'de gode' slåsser om hvem der ved mest, mens 'de onde' deler viden og bliver meget klogere end 'de gode'.

  • 0
  • 0
#2 Finn Christensen

Ja Stig.. dine sidste to linier er det relevante. Det er blevet Big Business at sælge beskyttelse til folket, så ingen har reel interesse i at iværksætte radikale tiltag.

"Ifølge sikkerhedsorganisationen ShadowServer Foundation er antallet af inficerede pc'er i botnetværk firdoblet over de sidste tre måneder. Sikkerhedseksperter tilknyttet ShadowServer Foundation overvåger løbende botnets, men de har ingen forklaring på, hvorfor tallet er steget så voldsomt."

Når nu alle køber - vi taler om mia. i omsætning - beskyttelse, så er det jo uforståeligt, at det kan fortsætte samt problemstillingen og involverede hele tiden øges.

Et lille fingerpeg kan være, at jeg i mine omgivelser ikke har set en eneste PC, hvor viden om 'sikkerhed' var tilstede, samt deres PC'er er lige til at hapse - det fortæller vel hvor man med fordel skal begynde at ændrer på tingenes tilstand.

Vi har ukyndige (for)brugere, der roder rundt på nettet uden egentlig at fatte, hvad de har gang i.

Normale brugere aner ikke hvad der sker, når de surfer, mailer eller 'snakker' via diverse tjenester. De ser fortrinsvis kun billeder (læser aldrig om teknik), og i billederne optræder heller ikke altid habile og kompetente 'eksperter' (firmarepræsentanter), som fortæller om virus etc.

Journalistisk (de er heller ikke fagligt klædt på) bliver anbefalingerne så til folket næsten hver gang, at 'en købeløsning' af gratis-300 kr. software er godt.

Den løsning er sør'm tossegod ubegavethed, og nytter ikke en pind.

  • 0
  • 0
#3 Jesper Stein Sandal

Jeg tror, I overser en væsentlig detalje: Det er også big business at inficere folks pc'er!

My Canadian Pharmacy omsatte i 2007 for anslået 720 millioner kroner, og det er blot én af flere grupper, som tjener penge på spam udsendt af botnets.

http://version2.dk/artikel/6890

Er det nødvendigt at købe sig til it-sikkerhed som forbruger? Ja, nu er jeg godt nok journalist, men jeg har også nok indblik it-sikkerhed til at give et mere nuanceret svar end et ja eller nej.

Det korte svar er, at du skal vælge din sikkerhedssoftware ud fra budget, kompetencer og behov. For nogle er det lig med en gratis pakke baseret på de bedste gratis delkomponenter og for andre er det en færdig pakke fra én leverandør til 300 kroner.

Stig: Din analyse er interessant, men jeg vil anbefale dig også at læse nogle af analyserne af Russian Business Network og gråzoner omkring internetudbydere:

http://voices.washingtonpost.com/securityfix/2008/08/report_slams_us_hos...

Når du skriver, at du ikke tror på servere ejet af malware-grupper, så er det ikke helt så enkelt i virkeligheden.

  • 0
  • 0
#4 Stig Johansen

Jeg tror, I overser en væsentlig detalje: Det er også big business at inficere folks pc'er!

Når du skriver I, går jegud fra det også indbefatter mig.

Men jeg er ikke et sekund i tvivl om at der er stor business i at inficere folks PC'ere.

Det jeg har prøvet at kigge på er hvordan 'de' får held til at fuppe så mange til download/installation af bot's.

Hvis man (jeg) læser om de forskellige incident, ser det ud til at trenden er en eller anden form for download, og ikke som tidligere vedhæftede filer, indkapsling i Word dokumenter o. lign.

Når du skriver, at du ikke tror på servere ejet af malware-grupper, så er det ikke helt så enkelt i virkeligheden.

Nej, det er en grov forenkling. Men jeg har backtracet, formentlig 1000 vis af 'malware url'er'.

I rigtig mange tilfælde er links døde efter en dags tid eller 2.

Deraf slutter jeg, at der er ryddet op, hvilket jeg ikke tror ville være sket hvis det var 'ejerne'.

'Analysen' skal ikke ses som et forsøg på at beskrive den endegyldige sandhed, mere som en kategorisering af impiriske data.

Formålet var ikke indholdet i sig selv, men at udvikle en metode/koncept til at stoppe udbredelsen højere oppe i fødekæden - altå på de servere, der tilhører 'the good guys'.

Hvis samtlige 'good guys' stopper udbredelsen(=mellemlagene i min model) af malware, så der der kun direkte links tilbage til 'the bad guys', som dermed ville kunne spores/blokkes nemt.

Det er nok en utopisk tanke, at det nogensinde vil ske, men på den anden side: Alle snakker om vejret, men ingen gør noget ved det.

Her er i det mindste et forsøg (+værktøj) på at gøre noget ved det.

  • 0
  • 0
#5 Stig Johansen

Jesper, tak for linket til artiklen.

En af de ting jeg bemærker er følgende:

One of those legitimate, hacked sites listed by StopBadware was www.journeyblueheaven.com. In late June, Peter Pitchford, a Web site designer from New York, was redesigning the site for a friend when he discovered Google was flagging it as a distributor of malicious software. Digging through the site's code, he found that it was attempting to infect any visiting PCs with "XPAntivirus," a notorious fake anti-virus product. The code that hackers had inserted into the site downloaded the malware from an address assigned to Atrivo.

Det er den slags ting der er min anke over den generelle tilstand på internettet. Han er en af dem jeg har kategoriseret som enten intermidiate - eller trusted, og dermed medvirkende til udbredelse.

Jeg vil ikke nedlade mig til at bruge ord som dumme og ukyndige, men på samme måde som man ikke behøver særlig kompetance, kræver det heller ikke særlig kompetance at etablere et websted/blog.

Det problematisk er, at det kun bliver opdaget ved et tilfælde efter ? tid.

'Flash-tingen' som var omtalt for kort tid siden havde sit endpoint på en IP adresse i Frankfurt, og var tydeligt en dedikeret server. Samtidig har vi observeret en del bot aktivitet fra et Tysk hosting center, vectoral.info. Så jeg vil erklære mig enig i, at malware grupperne lejer dedikerede servere til misbrug. Her er det nok særligt problematisk at kontrollere indholdet, da man stiller en server til rådighed, og ikke et webhotel.

Men andre bliver også brugt til endpoint, jeg husker Energi Midt: http://www.version2.dk/artikel/7100 Hvor man også har medvirket til udbredelse.

For slet ikke at snakke om 'Asprox': http://www.version2.dk/artikel/7958 Den blev tilsyneladende kun opdaget fordi der var en (eller mange) der fik trukket penge fra kontoen.

Jeg modsiger ikke nogen med hensyn til sikkerhed på PC'ere. Jeg vil til enhver tid anbefale Antivirus på PC'ere. Dog tror jeg ikke på det er nok i sig selv.

Den metodik der lægges for dagen kan skabe varianter lige så hurtigt som man vil.

Disse varianter vil i sagens natur ikke blive lagt ind før de er opdaget, og dermed er der et timaspan på ? fra udgivelse til 'medicin'.

Bemærk her - opdaget - for de bliver klogere og klogere og lægger sine ting 'below the radar' for at bibeholde sine bot's.

Det samme gælder på servere. Jeg har nævnt namogofer, som bevisligt har eksisteret siden 2006. Den er så snedigt indrettet, at der ikke er en kæft der opdager den. Alle disse SQL-injections har helt sikkert haft en stor impact på udbredelsen, men som SQL haj, kan jeg fortælle, at det er lidt amatøragtigt lavet. Derfor bliver de opdaget(næsten) med det samme og dermed lukket. Det er egentlig, set fra malwaresiden, spild af god ammunition. Men de er også blevet klogere - nu er de begyndt at lave lidt ekstra tests i stedet for blot at 'vold-injecte'.

Min interesse i situatinen er(var) egentlig personlig nysgerrighed over spørgsmålet 'hvor kloge er de nu'. At sikre EDB systemer har jeg arbejdet med siden '82, så der er ikke noget teknisk nyt under solen.

Men fantasien - mulighederne - variationerne.. På et eller andet plan er jeg fascineret over deres kreativitet, og der må helt klart være højkompetente udviklere indblandet.

Never mind, jeg har som sagt fået tilfredsstillet min nysgerrighed, men lad mig afslutte med denne advarsel: Det farlige/problematiske er ikke det du sér, men det du IKKE sér.

  • 0
  • 0
Log ind eller Opret konto for at kommentere